FLASH INFO | AI Act et RGPD : quelles nouvelles obligations pour les PME en 2026 ?

L’entrée en application progressive de l’AI Act marque un tournant majeur dans la réglementation européenne de l’intelligence artificielle. Pour les PME, il est essentiel de comprendre que ce nouveau texte ne remplace pas le RGPD : il vient le compléter en introduisant un cadre spécifique pour les systèmes d’IA et leurs niveaux de risque.

RGPD et AI Act : deux réglementations complémentaires

Le RGPD a pour objectif de protéger les données personnelles et les droits des personnes concernées. L’AI Act, quant à lui, vise à encadrer le développement, le déploiement et l’utilisation des systèmes d’intelligence artificielle au sein des organisations.

Ces deux réglementations se croisent dans de nombreux usages professionnels, notamment lorsque des systèmes d’IA traitent des données personnelles ou influencent des décisions concernant des individus.

Quels usages sont concernés dans les entreprises ?

De nombreuses PME utilisent déjà des outils pouvant être qualifiés de systèmes d’IA à risque, notamment :

• le tri automatisé des candidatures et des CV ;
• les outils de scoring ou de profilage clients ;
• certaines solutions marketing et d’automatisation décisionnelle ;
• les assistants IA utilisés dans les processus métiers.

Ces technologies devront désormais faire l’objet d’une vigilance renforcée.

Les nouvelles obligations à anticiper

Avec l’AI Act, les entreprises devront notamment :

✅ identifier et évaluer les risques liés aux systèmes d’IA utilisés ;
✅ documenter leur fonctionnement et leur utilisation ;
✅ garantir un niveau de transparence adapté ;
✅ mettre en place une gouvernance et des contrôles internes ;
✅ démontrer leur conformité en cas de contrôle.

Pourquoi agir dès maintenant ?

Même si certaines obligations entreront progressivement en vigueur, les PME ont tout intérêt à anticiper dès aujourd’hui. Réaliser un état des lieux des outils d’IA, cartographier les usages et intégrer ces nouveaux enjeux dans la gouvernance de la conformité permettra d’éviter les mises en conformité dans l’urgence.

Le rôle du DPO évolue également : au-delà de la protection des données, il devient un acteur central de la gouvernance de l’intelligence artificielle et de la maîtrise des risques numériques.

➡️ L’AI Act n’est plus une réglementation à surveiller : c’est désormais un sujet stratégique pour toutes les entreprises qui utilisent l’intelligence artificielle.